Zero
Logitech ha rilasciato una patch di sicurezza per una delle sue applicazioni dopo che in precedenza ignorato la segnalazione di un bug di Google Project Zero team di sicurezza per tre mesi.
La vulnerabilità è stata trovata nelle versioni di Opzioni, un Logitech app che consente agli utenti di personalizzare i pulsanti e il comportamento dei loro mouse, tastiere e touchpad.
Torna nel mese di settembre, Google ricercatore di sicurezza Tavis Ormandy scoperto che l’app è stata l’apertura di un server WebSocket, sui computer degli utenti.
Il problema era che questo server il supporto a un gruppo di invadente comandi, usato una chiave del registro di sistema di avvio automatico a ogni avvio del sistema, ed è venuto con un apatico sistema di autenticazione.
“Solo l ‘”autenticazione” è che è necessario fornire con un PID [ID] di un processo di proprietà dell’utente,” ha detto Ormandy in un bug report, “ma è necessario ottenere un numero illimitato di supposizioni così si può bruteforce in microsecondi.”
“Dopo di che, è possibile inviare i comandi e le opzioni di configurazione, la “corona” per inviare arbitrario sequenze di tasti, ecc, ecc….” l’esperto ha detto, suggerendo che l’app potrebbe essere una perfetta superficie di attacco per sia in locale che in remoto di battitura iniezione (Paperella di Gomma), gli attacchi che sono stati storicamente utilizzati per prendere su Pc.
Ormandy segnalato il problema a Logitech a metà settembre. Ma mentre il team Logitech riconosciuto il bug report, l’azienda non è mai spedito una patch.
“Ho […] avuto un incontro con Logitech ingegneri, 18 settembre, mi hanno assicurato che aveva capito i problemi e stavano progettando di aggiungere Origine controlla e verifica del tipo,” Ormandy ha detto. “C’era una nuova versione sul 1 ° ottobre, ma per quanto mi riguarda posso dire che non è riuscito a risolvere i problemi.”
Visto che dopo 90 giorni la società non è riuscita ad affrontare la segnalata privatamente problema, Ormandy ha rivelato le sue scoperte su martedì di questa settimana.
Dopo la segnalazione di bug avuto un po ‘ di trazione e attenzione tra i ricercatori di sicurezza su Twitter la scorsa notte, Logitech si precipitò a patch e le Opzioni di rilascio 7.00.564 per affrontare i problemi segnalati.
Più copertura di sicurezza:
Navi infettati con ransomware, USB malware, wormsWordPress spine bug che ha portato all’indicizzazione su Google qualche utente passwordsShamoon malware distrugge tutti i dati presenti in italia del petrolio e del gas companyGoogle+ colpito da seconda API bug impatto di 52,5 milioni di usersHP offre agli hacker di $10.000 per trovare bug nei suoi stampanti TechRepublic, Estorsione e le e-mail contenenti minacce terroristiche causare il panico in tutto il USThe rockstar hacker che protegge dai cattivi CNETWordPress spine bug che ha portato all’indicizzazione su Google qualche utente password
Argomenti Correlati:
Hardware
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0